RedHook แพร่พิลึกด้วย Wireless ADB ทำให้มาลแวร์เข้าถึงเชลล์ Android ได้โดยไม่ต้องเชื่อมต่อ USB

ที่มาภาพ: BleepingComputer

Security-อ่าน 6 นาทีBleepingComputer

RedHook แพร่พิลึกด้วย Wireless ADB ทำให้มาลแวร์เข้าถึงเชลล์ Android ได้โดยไม่ต้องเชื่อมต่อ USB

⚡ สรุป 30 วิ

RedHook เวอร์ชันใหม่ใช้ฟีเจอร์ Wireless ADB ของ Android เพื่อเชื่อมต่อผ่าน Wi‑Fi ส่งคำสั่ง shell ไปยังอุปกรณ์โดยไม่ต้องสาย USB…

RedHook เวอร์ชันใหม่ที่เจาะจุด **Wireless ADB (Android Wireless Debugging) ทำให้มัลแวร์สามารถเข้าถึงระดับเชลล์โดยไม่ต้องเชื่อมต่อกับคอมพิวเตอร์ การเปลี่ยนแปลงนี้เพิ่มความซับซ้อนของการโจมตีบนระบบ Android และทำให้นักวิจัยด้านความปลอดภัยต้องทบทวนแนวทางการตรวจจับและบล็อกมัลแวร์ในเครือข่ายไร้สาย

Overview

RedHook เป็นกลุ่มมัลแวร์ที่เคยใช้เทคนิคการเจาะระบบผ่านช่องโหว่ของ Android Debug Bridge (ADB) ที่ต้องอาศัยการเชื่อมต่อโดยตรงกับคอมพิวเตอร์เพื่อรันคำสั่งระดับระบบ ในเวอร์ชันล่าสุด ผู้โจมตีได้เปลี่ยนวิธีการเข้าถึงเป็นการใช้ Wireless ADB** ซึ่งทำงานผ่าน Wi‑Fi ทำให้สามารถควบคุมอุปกรณ์ Android ได้แม้ไม่มีสาย USB เชื่อมต่อ

ตามรายงานของผู้เชี่ยวชาญด้านความปลอดภัย RedHook เวอร์ชันใหม่นี้ยังคงรักษาความสามารถเดิมในการดาวน์โหลดและรันไฟล์ที่เป็นอันตราย รวมถึงการขโมยข้อมูลส่วนบุคคล แต่การเพิ่มช่องทาง Wireless ADB ทำให้ขั้นตอนการติดตั้งลดลงและอาจหลบเลี่ยงระบบตรวจจับบางประเภทได้ง่ายขึ้น

How the Exploit Works

การทำงานของ RedHook ผ่าน Wireless ADB มีลำดับขั้นตอนหลักดังต่อไปนี้

  • เปิดใช้งาน Wireless Debugging บนอุปกรณ์เป้าหมาย ผู้โจมตีอาจใช้วิธีหลอกผู้ใช้ให้เปิดฟีเจอร์นี้ผ่านแอปพลิเคชันที่ดูเหมือนปลอดภัย
  • สแกนหาที่อยู่ IP ของอุปกรณ์ โดยใช้เครือข่ายเดียวกันเพื่อค้นหาเครื่องที่เปิดพอร์ต ADB (โดยทั่วไปคือ 5555)
  • เชื่อมต่อผ่าน ADB over Wi‑Fi เพื่อส่งคำสั่ง shell ไปยังอุปกรณ์โดยตรง
  • รันโค้ดที่เป็นอันตราย เช่น ดาวน์โหลดไฟล์เพิ่มเติมหรือสร้างผู้ใช้ระดับ root บนอุปกรณ์

วิธีการนี้ไม่ต้องพึ่งพาการเชื่อมต่อ USB ทำให้ขั้นตอน “จับมือ” ระหว่างอุปกรณ์และคอมพิวเตอร์หายไป และเปิดโอกาสให้มัลแวร์สามารถทำงานได้ทันทีหลังจากที่ผู้ใช้ยินยอมเปิด Wireless Debugging

Capabilities & Payloads

แม้ช่องทางการเข้าถึงจะเปลี่ยนเป็น Wireless ADB แต่ ฟังก์ชันหลักของ RedHook ยังคงไม่แตกต่างมากนัก จากข้อมูลที่เผยแพร่ พบว่ามัลแวร์ยังคงสามารถทำสิ่งต่อไปนี้ได้

  • ดาวน์โหลดและติดตั้งไฟล์ APK ที่มาพร้อมกับโค้ดสปายเวอร์หรือ ransomware
  • ขโมยข้อมูลผู้ใช้ เช่น รายชื่อผู้ติดต่อ, SMS, และรายละเอียดการเข้าสู่ระบบจากแอปที่เก็บไว้ในเครื่อง
  • ส่งคำสั่ง shell เพื่อเพิ่มสิทธิ์ระดับ root หรือเปลี่ยนแปลงการตั้งค่าระบบโดยไม่ได้รับอนุญาต

ความสามารถเหล่านี้ทำให้ RedHook ยังคงเป็นภัยคุกคามต่อผู้ใช้ทั่วไปและองค์กรที่พึ่งพาอุปกรณ์ Android เป็นส่วนหนึ่งของโครงสร้างพื้นฐานด้านไอที

Detection & Mitigation

การตรวจจับ RedHook ที่ใช้ Wireless ADB จำเป็นต้องเพิ่มมุมมองจากเครือข่ายไร้สายเข้าไปด้วย ผู้ให้บริการแอนตี้ไวรัสหลายรายได้อัปเดตลายเซ็นและพฤติกรรมเพื่อสังเกตการเชื่อมต่อ ADB ผ่าน Wi‑Fi ที่ไม่ได้รับการยินยอม

แนวทางป้องกันที่แนะนำโดยผู้เชี่ยวชาญรวมถึง

  • ปิด Wireless Debugging หากไม่จำเป็นใช้งาน หรือเปิดใช้เฉพาะเมื่อทำงานกับนักพัฒนาแล้วปิดทิ้งทันทีหลังเสร็จ
  • ตรวจสอบรายการอุปกรณ์ที่มีการเชื่อมต่อ ADB ในเมนู “Developer options” และลบการเชื่อมต่อที่ไม่รู้จักออกโดยเร็ว
  • ใช้แอปจัดการสิทธิ์ของระบบ (Mobile Device Management) เพื่อตรวจจับและบล็อกพอร์ต 5555 บนอุปกรณ์ที่อยู่ในเครือข่ายเดียวกัน

การทำตามขั้นตอนเหล่านี้สามารถลดความเสี่ยงจาก RedHook ที่ใช้ช่องทาง Wireless ADB ได้อย่างมีประสิทธิภาพ

Impact

การเปลี่ยนแปลงของ RedHook ไปสู่การโจมตีผ่าน Wireless ADB มีผลกระทบต่อหลายกลุ่มผู้ใช้งาน ทั้งบุคคลทั่วไปที่อาจไม่รับรู้ถึงการเปิดฟีเจอร์นี้ และองค์กรที่จัดหาอุปกรณ์ Android ให้พนักงานโดยไม่มีการควบคุมระดับความปลอดภัยของโหมดดีบัก

ตามข้อมูลจากบริษัทด้านความปลอดภัยไซเบอร์ จำนวนเหตุการณ์โจมตีที่ตรวจพบเพิ่มขึ้นประมาณ 20% ในช่วงสองเดือนแรกหลังเปิดตัวเวอร์ชันใหม่ แม้ว่าจะยังไม่มีข้อมูลเชิงสถิติเต็มรูปแบบ แต่แนวโน้มดังกล่าวบ่งบอกถึงการปรับตัวของผู้โจมตีต่อมาตรการป้องกันที่มีอยู่แล้ว

Summary

RedHook เวอร์ชันล่าสุดใช้ Wireless ADB เพื่อเข้าถึงระดับเชลล์บนอุปกรณ์ Android โดยไม่ต้องพึ่งพาการเชื่อมต่อ USB ทำให้ช่องทางการโจมตีเพิ่มความซับซ้อนและยากต่อการตรวจจับ การปิด Wireless Debugging เมื่อไม่ใช้งานและการเฝ้าระวังพอร์ต ADB เป็นวิธีหลักที่แนะนำเพื่อลดความเสี่ยงจากภัยคุกคามนี้.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
RedHook Android malware now uses Wireless ADB for shell access
ผู้เขียน
Bill Toulas
แหล่ง
BleepingComputer
วันที่เผยแพร่
12 กรกฎาคม 2569 เวลา 21:27

Related

บทความที่เกี่ยวข้อง

Ubuntu 26.04 เสนอการอัปเกรดความปลอดภัยสำคัญด้วย RustSecurity
20 มิถุนายน 2569 เวลา 22:30

Ubuntu 26.04 เสนอการอัปเกรดความปลอดภัยสำคัญด้วย Rust

Ubuntu 26.04 มาพร้อม GNOME 50 ที่ทำให้หน้าตาเดสก์ท็อปทันสมัย แต่การอัปเดตที่สำคัญที่สุดคือการนำ Rust มาใช้ในยูทิลิตี้ระบบ ลดความเสี่ยงจากช่องโหว่ของ C/C++…

XDA Developers7 นาที
Spotify ปิดการใช้ username ให้เข้าสู่ระบบด้วยอีเมลตั้งแต่ 1 กันยายน 2569Security
19 มิถุนายน 2569 เวลา 10:30

Spotify ปิดการใช้ username ให้เข้าสู่ระบบด้วยอีเมลตั้งแต่ 1 กันยายน 2569

Spotify แจ้งว่าตั้งแต่ 1 กันยายน 2569 ระบบล็อกอินด้วย username จะหยุดใช้งาน ผู้ใช้ต้องเปลี่ยนเป็นอีเมลและรหัสผ่าน การเข้าสู่ระบบด้วย Google หรือ Apple…

Android Authority6 นาที
Broadcom ปรับปรุงความปลอดภัย Spring เพื่อต่อสู้การโจมตีด้…Security
11 มิถุนายน 2569 เวลา 04:00

Broadcom ปรับปรุงความปลอดภัย Spring เพื่อต่อสู้การโจมตีด้…

Broadcom เปิดอัปเดตความปลอดภัย Spring ที่ใหญ่ที่สุดโดยใช้ AI ตรวจจับช่องโหว่และให้แพตช์ zero‑day แก่ลูกค้าองค์กร. การอัปเดตนี้ช่วยลดความเสี่ยงจากการโจมตีด้วย…

InfoWorld8 นาที
VS Code เปิดการหน่วงเวลา 2 ชั่วโมงก่อนอัปเดตส่วนขยายอัตโน…Security
10 มิถุนายน 2569 เวลา 13:00

VS Code เปิดการหน่วงเวลา 2 ชั่วโมงก่อนอัปเดตส่วนขยายอัตโน…

Microsoft เพิ่มเวลาหน่วง 2 ชั่วโมงก่อนส่วนขยายของ VS Code จะอัปเดตอัตโนมัติ เพื่อลดความเสี่ยงจากการโจมตีซัพพลายเชน ผู้ใช้ยังคงอัปเดตด้วยตนเองได้หากต้องการ

The Hacker News7 นาที
คัดลอกลิงก์แล้ว!